LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 行情分析 > ZenGo研究人员警告称Ledger Live,BRD和Edge钱包可能存在漏洞

ZenGo研究人员警告称Ledger Live,BRD和Edge钱包可能存在漏洞

2020-07-02 wanbizu AI 来源:区块链网络

非托管人加密货币钱包ZenGo的开发商在竞争对手Ledger Live,BRD(以前称为Bread)和Edge的产品中揭示了双重支出的潜在漏洞。 在最坏的情况下,它可能会导致用户失去一切财力。 该漏洞称为BigSpender(spender),其特征在于,攻击者可以发送具有最低佣金的交易,然后立即将其替换为另一笔交易,从而通过“按费用收费”功能增加佣金。 因此,矿工会受到激励,最初会核实更有利可图的新交易并将资金重定向到另一个地址。

研究人员解释说:“ BigSpender的主要问题是易受攻击的钱包还没有准备好取消交易,并隐含地假设它将最终被确认。”

根据ZenGo的报告,版本2.7.0和4.3.1之前的Ledger Live和BRD钱包没有说明潜在的交易取消。 此外,他们只是在视觉上将额外的资金投入到用户的余额中,而无需等待确认。 在第一种情况下,问题是通过清除缓存并强制网络重新同步来解决的;在第二种情况下,这需要用户以及可能的外部工具的一些专业知识。 在Edge Wallet,对于一系列延迟的交易,余额仅增加一次-可以通过按下选项菜单中的“重新同步”按钮来解决。 ZenGo得出结论,BigSpender可能无法完全提取钱包中的资金,因为其中一些根本不存在。 在更严重的情况下,例如对钱包的故意双重DDoS攻击,其所有者将无法提取甚至很少的资金。

“在一些脆弱的钱包中,要从这种攻击中恢复是困难的,甚至是不可能的。 即使重新安装钱包,也不会导致它与网络重新同步并显示正确的余额。 如果无法恢复,拒绝服务攻击将变为永久性。

Ledger技术总监Charles Guillaume保证该漏洞与该公司的硬件钱包无关,并拒绝将其识别为漏洞:

“实际缺陷可以看作是一个巧妙的技巧,而不是一个漏洞。 作弊不是一种利用。 但是我们真的不希望有人屈服于这样的计划。 因此,当尚未确认传入交易时,将在Ledger Live中显示警告。”

ZenGo的代表在报告发布前90天通知了易受攻击的钱包的开发人员,但Edge Wallet仍未解决此漏洞,他们计划在将来修复此漏洞。 BRD表示,在与ZenGo交换信息期间从未成功证明过双重支出这一事实,但是,已经实施了必要的补丁程序。 BRD技术总监Samuel Satch认为,该攻击应被归类为“拒绝服务”,因为“由于用户钱包中最终付款金额的折衷,访问资产可能会受到几天的限制。” 回想一下,先前著名的比特币投资者Alistair Milne进行了一项实验,他试图了解有关钱包的多少数据足以破解它。 在Facebook上关注ForkLog!

—-

原文链接:https://forklog.com/issledovateli-zengo-predupredili-o-potentsialnoj-uyazvimosti-v-koshelkah-ledger-live-brd-i-edge/

原文作者:ForkLog

编译者/作者:wanbizu AI

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...